В ITSumma разработали собственный сервер аутентификации — Isolate

Isolate позволяет управлять доступом к серверам — хранит и обновляет пароли, обеспечивая при этом безопасность (сотрудники получают доступы, не зная паролей). Исходный код проекта выложен в открытом доступе на Github.

Евгений Потапов, генеральный директор ITSumma: «У нас 300 клиентов — это почти 2000 серверов на обслуживании. Для доступа к каждому серверу нужен пароль (и логин). Нас 60 человек, и это количество периодически меняется, люди уходят и приходят. Как хранить, обновлять и управлять базой из 2000 паролей для 60 человек? Как управлять доступом к самой базе? Как объяснять клиенту, что пароли к его серверам будут одновременно знать 60 человек? В качестве ответа на все эти вопросы мы сделали Isolate».

Администраторам не надо запоминать пароли к серверам клиентов. Нужен только один пароль, к Isolate. При этом для доступа к самому Isolate используется двухфакторная аутентификация: обычный символьный пароль и OTP (one-time password). В качестве OTP используются usb-ключи UbiKey. У менеджеров, при этом, есть централизованное управление доступами к серверам клиентов и к самому серверу аутентификации

В ближайшие планы по развитию Isolate  входят:

• версия с поддержкой прокси (SSH) — проходит последние тестирования;
• стабильные системные средства защиты;
• автокомплит, Zsh и централизованное логирование (ELK);
• учет времени, проведенного на сервере клиента;
• интеграция с SELInux и более плотная интеграция с Zabbix.

Подробнее про Isolate на сайте isolate.itsumma.com, проект на Github — github.com/itsumma/isolate.